- •5. Кібербезпека та захист інформації
- •5.1. Основи кібербезпеки
- •5.1.1. Поняття кіберпростору та інформаційного простору
- •5.1.2. Інформаційна безпека як сфера національної безпеки України
- •5.1.3. Поняття кібербезпеки, захисту інформації та кіберзахисту
- •5.1.4. Види захисту інформації
- •5.1.5. Поняття конфіденційності, цілісності, доступності
- •5.1.6. Принципи кібербезпеки
- •5.2. Кіберзагрози та кібератаки
- •5.2.1. Поняття загроз, атак, вразливості
- •5.2.2. Класифікація загроз, атак
- •5.2.3. Кіберзлочини. Кібервійна. Кібероборона
- •5.2.4. Кібертероризм. Кіберрозвідка
- •5.2.5. Модель порушника
- •5.2.6. Поняття, сутність та основні завдання комплексної системи захисту інформації
- •5.3. Безпека мережі
- •5.3.1. Поняття про шкідливе програмне забезпечення
- •5.3.2. Шпигунські програми, фішинг, програми-вимагачі
- •5.3.3. DDoS-атаки
5.1.3. Поняття кібербезпеки, захисту інформації та кіберзахисту
Комп'ютерна безпека — це сукупність методів захисту у галузі телекомунікацій та інформатики, пов'язаних з оцінкою і контролюванням ризиків, що виникають при користуванні комп'ютерами та комп'ютерними мережами і їх впровадження із точки зору конфіденційності, цілісності і доступності.
Визначення. Закон України «Про основні засади забезпечення кібербезпеки України» дає таке визначення: «Кібербезпека — захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».
Створення безпечних комп'ютерних систем і додатків є метою діяльності мережевих інженерів і програмістів, а також предметом теоретичного дослідження як у галузі телекомунікацій та інформатики, так і економіки. У зв'язку із складністю і трудомісткістю більшості процесів і методів захисту цифрового обладнання, інформації та комп'ютерних систем від ненавмисного чи несанкціонованого доступу вразливості комп'ютерних систем становлять значну проблему для їхніх користувачів.
Кібербезпека — це безпека ІТ систем (обладнання та програм). Кібербезпека є частиною інформаційної безпеки будь-якої організації.
Кібербезпека важлива, оскільки урядові, військові, корпоративні, фінансові та медичні організації збирають, обробляють та зберігають безпрецедентні обсяги даних на комп'ютерах та інших пристроях[джерело?]. Значна частина цих даних може бути конфіденційною інформацією, будь то інтелектуальна власність, фінансові дані, особиста інформація або інші типи даних, для яких несанкціонований доступ або викриття можуть мати негативні наслідки. Організації передають конфіденційні дані через мережі та на інші пристрої в процесі ведення бізнесу. Компаніям та організаціям, особливо тим, яким доручається захищати інформацію, що стосується національної безпеки, охорони здоров'я чи фінансової документації, потрібно вживати заходів для захисту своєї конфіденційної інформації про бізнес та персонал. Вже в березні 2013 року представники розвідки країни застерегли, що кібератаки та цифрове шпигунство є головною загрозою національній безпеці, перевершуючи навіть тероризм.
Теорія і практика побудови безпечних комп'ютерних систем.
Згідно із загальноприйнятим визначенням, безпечна комп'ютерна інформаційна система — це ідеальна система, яка коректно і у повному обсязі реалізує ті і лише ті цілі, що відповідають намірам її власника.
На практиці побудувати складну систему, що задовольняє цьому принципові, неможливо, і не лише з огляду на ймовірність виникнення несправностей і помилок, але й через складність визначення і формулювання часто-густо суперечливих очікувань проектувальника системи, програміста, законного власника системи, власника даних, що обробляються, та кінцевого користувача. Навіть після їхнього визначення у багатьох випадках важко або й неможливо з'ясувати, чи функціонує програма у відповідності із сформульованими вимогами. У зв'язку з цим забезпечення безпеки зводиться найчастіше до управління ризиком: визначення потенційних загроз, оцінка ймовірності їхнього настання та оцінка потенційної шкоди, із наступним ужиттям запобіжних заходів в обсязі, що враховує технічні можливості й економічні обставини.
Джерела помилок у системах безпеки. Некоректна реалізація комп'ютерною інформаційною системою функцій, запланованих її автором чи власником, часто призводить до збитків і трагедій. Прикладами є втрата зонду NASA «Марінер-1» у 1962 році через помилку у коді[18], написаному на мові Фортран, чи смертельні випадки серед пацієнтів через вади програмного забезпечення апаратів для радіотерапії Therac-25 у 80-х роках.
З появою модемного зв'язку, глобальних мереж й Інтернету загрозу почала становити несанкціонована взаємодія із системою третіх осіб, хоча при цьому система може функціонувати у відповідності до намірів та очікувань її авторів та власників. Сценарії, що можуть призвести до несанкціонованого використання системи, можна класифікувати за їхнім походженням.
Помилки проектування. Цей термін означає, що програма будується на помилкових засадах, наприклад, на хибному розумінні засад функціонування комп'ютерних мереж і використовуваних комунікаційних протоколів. До помилок цього роду можна віднести використання нестійких шифрів, як це мало місце у випадку протоколу Нідгема — Шредера, застосованого у протоколі Kerberos, а також хибний вибір механізмів автентифікації чи повна довіра до інформації, надісланої клієнтом в архітектурі клієнт-сервер. Наслідком таких помилок можуть бути некоректні результати роботи додатку й одержання помилкових даних.
Помилки реалізації. До цієї групи належать технічні помилки, яких програмісти припускаються через свою недостатню обізнаність або неуважність. Прикладом є недостатня перевірка параметрів або результатів системних викликів, що може призвести до таких уразливостей, як переповнення буфера, невміле застосування функції *printf() (англ. — format string attack) чи цілочисельне переповнення. Поширеним результатом помилок реалізації є можливість одержання повного контролю над процесом особою, що не має відповідних прав, чи можливість безпосередньої взаємодії з операційною системою.
Помилки конфігурації. Ця категорія об'єднує помилки адміністраторів, які налаштовують програмне забезпечення для користувачів. Такі помилки можуть виникати внаслідок нерозуміння документації чи особливостей функціонування програмного засобу, або ж через недбалість. Прикладом такого роду помилок є встановлення слабких паролів для привілейованих облікових записів чи надання надмірних прав без відповідного контролю доступу.
Помилки оператора. До цієї групи належать дії користувачів, які не мають повного розуміння роботи програмного забезпечення і принципів функціонування комп'ютерних систем. Приклади таких дій — запуск вкладень електронних листів від ненадійних відправників, ігнорування застережних повідомлень, випадкова зміна налаштувань програми, а також втрата носія із резервною копією даних.
Варто зазначити, що необережність зі сторони користувача є дуже поширеною і серйозною проблемою. Наприклад, за результатами проведених свого часу опитувань, понад 70 % учасників опитування були готові повідомити свій пароль до комп'ютерної системи в обмін на плитку шоколаду.
Суперечливі питання класифікації. Дві останні групи помилок є предметом тривалих суперечок. Частина спеціалістів вважають, що автора системи не можна звинувачувати у некоректному конфігуруванні і застосуванні програмного забезпечення, і у зв'язку з цим такі помилки не повинні розглядатися як технічні вади системи безпеки. Інші твердять, що згідно із принципом найменшого здивування, якщо програма, не будучи інтуїтивно зрозумілою, сприяє цим самим збільшенню кількості помилок через дії користувача чи адміністратора, то це є недоліком самої програми.
Уразливі сфери діяльності. Комп'ютерна безпека є вкрай важливою практично для всіх технологічних галузей, що функціонують за участю комп'ютерних систем.
Авіаційна галузь є особливо важливою з точки зору комп'ютерної безпеки, оскільки пов'язані із нею ризики стосуються життя людей, цінного обладнання й вантажів, а також авіатранспортної інфраструктури. Безпека системи може опинитися під загрозою через неправильне функціонування апаратного і програмного забезпечення, помилкові дії оператора чи неполадки, пов'язані із середовищем, в якому працює комп'ютерна система. Причиною таких загроз, що реалізуються через уразливість комп'ютерних систем, може бути саботаж, шпіонаж, промислова конкуренція, тероризм, технічні неполадки та людський фактор.
Наслідки успішних навмисних чи ненавмисних злочинних дій із комп'ютерною системою в авіації можуть бути різноманітними, від розголошення конфіденційної інформації до порушення цілісності системи, що може призвести до таких серйозних проблем, як витік інформації (крадіжка чи втрата даних), простій у роботі мережі чи системи управління повітряним рухом, а це, у свою чергу, може призвести до призупинення роботи аеропорту, втрати повітряного судна, загибелі пасажирів. Ще більшому ризикові піддаються військові системи, що керують майном та обладнанням військового призначення.
Захист комп'ютера. Існує багато шляхів захисту комп'ютерів, серед них методи, що ґрунтуються на використанні безпечних операційних систем та апаратного забезпечення, здатного захистити комп'ютерну систему.
Згідно зі слів експертів з кібербезпеки можна виділити такі методи захисту:
безпечна побудова серверної частини;
здійснювати регулярне оновлення всіх елементів інфраструктури;
робити тестування навантаження;
проводити аналіз коду використовуваних бібліотек;
проводити аналіз коду програми;
ідентифікувати вразливості шляхом сканування;
проводити регулярний аудит інформаційної безпеки.
Безпека і проектування систем. Хоча під час проектування комп'ютерної системи необхідно взяти до уваги чимало характеристик, безпека є серед них однією з найважливіших. За даними опитування, проведеного корпорацією Symantec у 2010 році, 94 % організацій, що взяли участь в опитуванні, планували вжити заходів з підвищення безпечності їхніх комп'ютерних систем, а 42 % зазначили, що вважають неналежний рівень кібербезпеки за основний ризик.
Незважаючи на те, що більшість організацій вдосконалюють системи інформаційного захисту, чимало кіберзлочинців знаходять шляхи їхнього обходу і продовжують свою діяльність. Нині спостерігається зростання числа майже усіх типів кібератак. В опитуванні 2009 року щодо комп'ютерних злочинів і кібербезпеки, проведеному Інститутом комп'ютерної безпеки, респонденти відзначили суттєве зростання числа атак шляхом застосування зловмисних програмних засобів, DoS-атак, викрадання паролів та дефейсу сайтів[25].
Безпека користувача. У зв'язку з тим, що інтернет-технології проникають у всіх сфери життя людини, а подекуди й інтегруються в тіло людини, питання кібербезпеки користувача набуває особливої ваги. При сучасному рівні розвитку технологій та їхній інтегрованості в життя людини це не лише питання доступу до інформації. Технології стають все ближче до тіла, до мозку і очей, до м'язів людини. Наприклад, у 2016 в Одесі на конференції Black Sea Summit вперше в Україні людині вживили чип у руку, якою він міг оплачувати рахунки, як банківською картою[26]. Також в останні роки набуває популярності імплантація чипів, які б замінювали ключі, карти, ідентифікаційні дані. Так, наприклад, в 2019 році проект «xNT» почав розсилку покупцям чипів для імплантації в руку[27]. Відповідно, все більше зростає загроза, що кібератаки можуть торкнутися фізичного стану людини. Тому кібербезпека — це також і безпека життя людини[28]. За даними фахівців компанії InDevLab — більш ніж 90 % взломів відбувається саме завдяки соціальній інженерії. Це відбувається через те що хакери намагаються залякати людину чи створити такі обставини за яких у людини є обмежений час на роздуми і потрібно здійснити якусь дію, наприклад перерахувати кошти на зазначений рахунок.
Базові правила кібербезпеки користувача:
Створення складного пароля, що складатиметься із довільного набору символів, букв та цифр;
Регулярне оновлення паролів (раз у півроку);
Не переходити за шкідливими або підозрілими посиланнями. Причина полягає в тому, що багато інтернет ресурсів містять комп'ютерні черв'яки або інші віруси. Особливу увагу варто звертати на Торрент-файли;
Найбезпечніше використовувати ліцензоване програмне забезпечення;
Не публікувати інформацію, що може мати компрометуючий характер;
Підтримка «чистоти переписок».
Захист інформації (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Термін вживається в Україні для опису комплексу заходів з забезпечення інформаційної безпеки. 30 листопада — Міжнародний день захисту інформації.
Захист інформації ведеться для підтримки таких властивостей інформації як:
Цілісність
неможливість модифікації інформації неавторизованим користувачем.
Конфіденційність
інформація не може бути отримана неавторизованим користувачем.
Доступність
полягає в тому, що авторизований користувач може використовувати інформацію відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (прийнятного) інтервалу часу.
Відповідно до властивостей І., виділяють такі загрози її безпеці:
загрози цілісності:
знищення;
модифікація;
загрози доступності:
блокування;
знищення;
загрози конфіденційності:
несанкціонований доступ (НСД);
витік;
розголошення.
Аспекти захисту інформації:
Конфіденційність — захист від несанкціонованого ознайомлення з інформацією.
Цілісність — захист інформації від несанкціонованої модифікації.
Доступність — захист (забезпечення) доступу до інформації, а також можливості її використання. Доступність забезпечується як підтриманням систем в робочому стані, так і завдяки способам, які дозволяють швидко відновити втрачену чи пошкоджену інформацію.
Кожен вид ЗІ забезпечує окремі аспекти ІБ:
Технічний — забезпечує обмеження доступу до носія повідомлення апаратно-технічними засобами (антивіруси, фаєрволи, маршрутизатори, токіни, смарткарти тощо):
попередження витоку по технічним каналам;
запобігання блокуванню;
Інженерний — запобігає руйнуванню носія внаслідок навмисних дій або природного впливу інженерно-технічними засобами (сюди відносять обмежувальні конструкції, охоронно-пожежна сигналізація).
Криптографічний — попереджує доступ за допомогою математичних перетворень повідомлення (ІП):
попередження несанкціонованої модифікації ;
попередження НС розголошення.
Організаційний — попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (правила розмежування доступу).
Кіберзахист (англ. Cyber Defence) — сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем.
Кіберзахист покликаний допомагати у розробці та керувати стратегіями, необхідними для протидії шкідливим атакам або загрозам. Широкий спектр різних видів діяльності залучається до кібербезпеки для захисту визначеного суб'єкта, а також для швидкого реагування на кібератаки. Це може включати зменшення привабливості визначенго суб'єкта для можливих зловмисників, розуміння критичних місць та конфіденційної інформації, запровадження запобіжних заходів для забезпечення протидії кібератакам, можливості виявлення кібератак та реагування. Кіберзахист також передбачає проведення технічного аналізу для визначення шляхів і областей, які можуть атакувати зловмисники.
Впровадження системи кіберзахисту передбачено законом «Про основні засади забезпечення кібербезпеки України».
Кібероборона визначена у Статті 5 оновленої Угоди НАТО в якості операційного домену, при цьому для розвитку спроможностей у сфері кібернетичної оборони створено відповідну систему.